Một chiến dịch tấn công phishing tinh vi đang nhắm mục tiêu vào các chuyên gia kinh doanh thông qua các email giả mạo dịch vụ Calendly. Chiến dịch này kết hợp kỹ thuật social engineering với các phương pháp đánh cắp thông tin đăng nhập nâng cao, gây ra mối đe dọa mạng đáng kể cho các tổ chức và cá nhân.

Cuộc tấn công đặc biệt tập trung vào các tài khoản Google Workspace và Facebook Business. Kẻ tấn công sử dụng mồi nhử cơ hội việc làm được dàn dựng tỉ mỉ nhằm lừa người dùng chia sẻ thông tin đăng nhập của họ.

Chiến dịch Phishing Calendly nhắm mục tiêu doanh nghiệp

Chiến dịch này được ghi nhận khi một nạn nhân nhận được email giả mạo rất thuyết phục. Email này tự xưng là một nhà tuyển dụng từ LVMH, một tập đoàn hàng xa xỉ toàn cầu, cung cấp một cơ hội việc làm đầy hứa hẹn.

Các nhà phân tích bảo mật tại Push Security đã phát hiện ra chiến dịch này. Họ nhận thấy cuộc tấn công là một phần của một chiến dịch lớn hơn với nhiều biến thể và thương hiệu khác nhau được sử dụng để lừa đảo.

Kỹ thuật Cá nhân hóa Nâng cao

Email ban đầu được thiết kế để trông rất chân thực. Nó bao gồm các chi tiết cá nhân về kinh nghiệm làm việc của nạn nhân và được ký bởi một người tự xưng là quản lý nhân sự của công ty.

Sự tinh vi trong việc cá nhân hóa này cho thấy kẻ tấn công có thể đã sử dụng trí tuệ nhân tạo (AI). AI được dùng để thu thập và tùy chỉnh thông tin từ các nguồn công khai, chẳng hạn như hồ sơ chuyên nghiệp trên LinkedIn.

Việc sử dụng thông tin cá nhân giúp tăng độ tin cậy của email, khiến nạn nhân dễ dàng tin tưởng và tương tác hơn với nội dung độc hại. Điều này làm cho chiến dịch tấn công phishing trở nên nguy hiểm hơn.

Cơ chế Phát tán Đa tầng và Vượt qua Bộ lọc Bảo mật

Cuộc tấn công sử dụng một phương pháp phát tán đa tầng, được thiết kế để vượt qua các bộ lọc bảo mật email truyền thống. Email ban đầu chỉ hỏi liệu người nhận có quan tâm đến cơ hội hay không, không chứa liên kết đáng ngờ ngay lập tức.

Chỉ sau khi người nhận phản hồi, kẻ tấn công mới gửi một email tiếp theo chứa liên kết độc hại. Liên kết này được ngụy trang khéo léo dưới dạng một liên kết đặt lịch hẹn Calendly thông thường.

Cách tiếp cận theo từng giai đoạn này là một kỹ thuật hiệu quả để né tránh các công cụ quét nội dung email. Các công cụ này thường tự động gắn cờ hoặc chặn các tin nhắn có chứa liên kết đáng ngờ ngay từ đầu.

Trang Phishing AiTM Tinh vi và Cơ chế Chống Phân tích

Khi nạn nhân nhấp vào liên kết, họ sẽ được đưa đến một trang Calendly giả mạo. Trang này được thiết kế để trông gần như y hệt dịch vụ hợp pháp, từ giao diện người dùng đến các yếu tố thương hiệu.

Sau khi hoàn thành xác minh CAPTCHA, việc nhấp vào “Continue with Google” sẽ chuyển hướng người dùng đến một trang phishing Attacker-in-the-Middle (AiTM). Kỹ thuật AiTM cho phép kẻ tấn công chặn và chuyển tiếp thông tin đăng nhập, kể cả các phiên đã xác thực.

Chiếm quyền điều khiển qua Trang Đăng nhập Giả mạo

Trang AiTM này mô phỏng giao diện đăng nhập của Google nhưng được gắn thương hiệu Calendly cụ thể. Điều này nhằm mục đích làm tăng thêm tính hợp pháp, đánh lừa nạn nhân tin rằng họ đang đăng nhập vào dịch vụ Calendly thông qua Google.

Hạ tầng phishing còn bao gồm các cơ chế xác thực thông minh. Các cơ chế này chặn các tên miền email không được ủy quyền truy cập vào trang, chỉ cho phép các email phù hợp với tên miền tổ chức mục tiêu tiếp tục đến trường nhập mật khẩu.

Sự kết hợp của AiTM và xác thực tên miền mục tiêu làm tăng hiệu quả của chiến dịch. Kẻ tấn công có khả năng thực hiện hành vi chiếm quyền điều khiển tài khoản mục tiêu với tỷ lệ thành công cao hơn.

Tính năng Chống Phân tích và Né tránh Phát hiện

Các nhà nghiên cứu cũng đã phát hiện các tính năng chống phân tích nâng cao được tích hợp trong hạ tầng của kẻ tấn công. Bao gồm việc chặn địa chỉ IP (IP blocking) từ các kết nối VPN hoặc proxy, ngăn chặn các nỗ lực điều tra.

Ngoài ra, hệ thống cũng áp đặt các hạn chế truy cập khi các công cụ dành cho nhà phát triển (developer tools) được mở. Những biện pháp bảo vệ này cho thấy kẻ tấn công đang chủ động tìm cách đi trước các nhà nghiên cứu bảo mật và các công cụ phân tích tự động.

Các kỹ thuật né tránh phát hiện này làm phức tạp thêm quá trình điều tra và ứng phó sự cố. Nó cho thấy mức độ chuyên nghiệp và nguồn lực mà những kẻ đứng sau chiến dịch tấn công phishing này sở hữu.

Sự Phát triển liên tục của Mối Đe dọa Mạng

Chiến dịch này đã phát triển đáng kể kể từ khi ra đời cách đây hơn hai năm. Kẻ tấn công không ngừng cải tiến chiến thuật và giới thiệu các phương pháp né tránh phát hiện mới.

Mục tiêu của sự cải tiến liên tục này là duy trì hiệu quả hoạt động và tiếp tục gây ra mối đe dọa mạng cho các cá nhân và tổ chức. Đây là một ví dụ điển hình về sự kiên trì và thích nghi của các tác nhân đe dọa trong không gian mạng.

Để chống lại các chiến dịch tương tự, các tổ chức cần liên tục cập nhật các biện pháp bảo mật. Việc đào tạo nhận thức về tấn công phishing cho người dùng cũng là một yếu tố quan trọng để giảm thiểu rủi ro.